MacSysAdmin 2018

Logo MacSysAdmin 2018
MacSysAdmin 2018 – van 2 t/m 5 oktober. Ook dit jaar mag ik bij dit event aanwezig zijn namens het GLR. Op deze pagina probeer ik per dag de presentaties kort weer te geven. Klik hieronder op de juiste dag om snel op deze pagina te navigeren.
Aangezien er niets openbaar gemaakt mag worden over de sessies die medewerkers van Apple zelf geven, worden die sessies hier uiteraard ook niet beschreven / weer gegeven.

Alle beschikbare documentatie kan ook op de website van MacSysAdmin gevonden worden

Migrating Away From macOS Server Services

Charles Edge, Jamf and krypted.com

Charles was heeft zich altijd veel bezig gehouden met MacOS Server en daar diverse boeken over geschreven. Juist hij geeft een lezing over “migraine away from MacOS Server Servies”. Een beetje met pijn zijn zijn hart, maar toch ook wel klaar voor de volgende stap want:

Bedrijven gebruikten al steeds minder de Apple Services, de focus ligt duidelijk op de gebruikerskant, de clients en daar moet dus ook de focus van de MacAdmins naar toe. Met de groei van Apple in dat segment is er voldoende werk, te leren en te onderzoeken.

Als je een alternatief zoekt kan je eenvoudig opties vinden in de diverse all-in-one appliances zoals Netgear, Buffalo en Synology, voor zover je nog eigen servers wilt hosten. Uiteraard zijn ook opties als Windows en Linux beschikbaar, maar dar wordt binnen kleine organisaties minder snel voor gekozen.

Voordat je de de volgende server app van Apple gaat installeren:

  • nog niet direct upgraden
  • Eerst een image maken (voor een eventuele roll-back)
  • Een back-up maken van elke gebruikte service-settings

Na de upgrade hou je nog 3 services over: Xsan, OpenDirectory (noodzakelijk voor Xsan) en Profile Manager. Een deel van de overige services zijn verhuisd naar het client OS, zoals FileSharing, TimeMachine en Caching. Niet alle opties zijn direct via de grafische interface (GUI) beschikbaar, maar bieden op de Command Line Interface (CLI) meer mogelijkheden.

De overige services zijn uitgefaseerd. Vervolgens bespreekt Charles per service de opties van back-up, ex- en import indien van toepassing. De slides van zijn presentatie met de details zijn hier te vinden.

What Every Mac Admin Needs to Know About Modern macOS Management

John Richards, VMware

Tijdens deze exposanten sessie vertelde John over AirWatch.

Mucking about with Mojave

Ben Toms, dataJAR

In deze sessie besprak Ben hoe en wat de impact is van de laatste release van MacOS. Er zijn veel nieuwe of verbeterde beveiligingsmechanismes te vinden in Mojave, waaronder User Data Protection. Als een App een service wil gebruiken zal een prompt verschijnen en om toestemming vragen.

User Data Protection in MacOS Mojave

Bij het maken van profielen moet hier dus rekening gehouden worden. Er is een commandline utility waarmee je tijdens het testen een reset kan uitvoeren wanneer op “OK” geklikt is (tccutil).

Alle tips, trucs en tools die genoemd en deels besproken zijn, zijn op GitHub te vinden.

Een aantal jaren geleden verscheen er regelmatig een korte video van “PC vs Mac” waarin PC er meestal niet zo goed af kwam. Onderstaande episode is van 2007. Gaat Mac nu hetzelfde meemaken?

Help me help you

Andrew Seago, Top 10 Bio-Tech Company, Macbrained

Voor veel Admins is het een dagelijkse strijd, gebruikers tegenover bescherming en veiligheid. Het lijkt wel of die twee niet samengaan. In deze sessie bespreekt Andrew hoe hij dat aanpakt in een grote omgeving, waarin hij niet weet hoeveel Macs en Macbooks hij en het team beheert.

“Locking down: Just because you can does not mean that you should”

Zaken veranderen en dat gaat snel, dan is het nodig andere inzichten te hebben. Als je zaken afsluit leg dan uit wat je doet en waarom. IT levert de tools zodat een ander zijn werk kan doen.

We denken dat alles kapot gaat als werknemenrs zelf admin zijn , maar dat blijkt niet waar. Ze zijn verantwoordelijk voor hun eigen device. Sense of ownership. Een mooi voorbeeld is een klas leerlingen die ze een sticker hebben laten maken voor Chromebook. Resultaat: de leerlingen gingen veel zorgvuldiger om met hun device (“Proud of their systems”).

“Transparancy is operating in such a way thats it is easy for others to see what actions are performed”

Support users ook met goede uitleg. Een plek waar ze duidelijke info kunnen vinden.

Carrot or sticks?

  • Self Service is the only way to install licensed software
  • Quickadd.pkg als a self Service installer
  • Wifi configurations
  • Incoporated Self Help Tools
  • Software Updates
  • Tech tools only available on Self Service

Als de gebruiker niets geeft om een backup waarom zou je dat als admin dan wel doen?

Kortom, support je gebruikers zonder ze “lastig” te vallen.

Tools om gebruikersinterfaces te maken:

Tip van Andrew: Mac Admins Podcast

Tethered Management of iOS Devices

Sal Soghoian, macosxautomation.com

In deze sessie legt Sal stap voor stap uit hoe je met behulp van Automator en Apple Configurator een Mac dusdanig kunt inrichten dat een iOS device eenvoudig door een gebruiker gereset kan worden naar een default zonder kennis te hebben van zaken. De gebruiker verbindt het iOS device d.m.v. de kabel met de Mac en vervolgens wordt de flow gestart.

Op zijn website (met video!) legt Sal precies uit hoe een en ander werkt.

A New Standard for Apple IT Management in the Cloud

Peter Stebbins, Addigy

De eerste sessie van de dag startte met Addigy, een cloudbased platform waarmee Mac’s en iOS decices te managen zijn. Het enige dat op de cliënt draait is een agent van ca 4MB groot. Connectie van en naar de cloud gaat over poort 443, welke ook gebruikt wordt voor http verkeer over SSL of TLS.

Peter liet voornamelijk aan de hand van een demo zien wat de mogelijkheden zijn en dat zijn er nog al wat. Een product waar ik zeker in de nabije toekomst eens naar ga kijken.

 

Imaging is Dead: What Now?

Greg Neagle, Walt Disney Animation Studios

In de afgelopen jaren hebben we een aantal verschillende manieren van imagen gezien.

  • Monolithic imaging
    Reference machine bouwen – snapshot maken – uitrollen op testmachine – testen – tweaken – opnieuw snapshot ten – etc.
  • Modular imaging
    Installer + packages -» diskimage -» installeren -» onderhoud (updates etc) -» packages
  • Thin Image
    Installer + een aantal kleine packages om maintanance server te bereiken en vervolgens wordt de rest vanaf de management server geregeld
  • No imaging
    Alles via een MDM (Mobile Device Management) server

Echter door een aantal wijzigingen wordt het steeds lastiger, zo niet onmogelijk om gebruik te maken van een image. De reden is niet alleen het nieuwe FileSysteem van Apple (APFS), maar voornamelijk het feit dat er meer nodig is dan wat bits op een disk plaatsen. Dat laatste is wat er tijdens imagen gebeurt.

Afhankelijk van hardware (iMac Pro – secure boot) en software (High Sierra/Mojave) zijn er meer componenten die geüpdate moeten worden naast de bitjes op de disk. Denk hierbij onder andere aan EFI, touchbar, touch ID, T2 architectuur en FlashStorage.

Imagen is nog wel mogelijk (ook op APFS) Indien de hardware hetzelfde is en het target device al een geüpgrade EFI, SMC etc heeft. Apple geeft duidelijk aan dat het DEP (Device Enrollment Programm) en MDM is als enige juiste keuze.

Een andere mogelijkheid is om het commando Createinstallmedia  en System Image Utility in een combi te gebruiken om zodoende een Installer te creëren die ook een package bevat waarmee verwezen wordt naar een MDM of bijvoorbeeld Munki.

Alle links van van apps en blogposts die genoemd zijn en die te maken hebben met dit onderwerp heeft Greg verzameld op zijn website.

Uiteraard liet Greg ook deze keer zien welke film binnenkort gaat uitkomen: “Ralph breaks the internet”.

 

DEP – The Right Way

Joel Rennich, Orchard & Grove

Joel, founder of NoMAD (No More Active Directory), heeft aan de hand van NoMAD Login laten zien wat de mogelijkheden zijn om een custom made login te creëren voor Mac Users om zo een meerwaarde te bieden in de DeP workflow.

DEP workflow components:

  • Validation
  • Authentication
  • Information
  • Configuration
  • Notification

Het geheel moet afgehandeld worden voordat de Finder start, dus in het LoginWindow proces.

Aan de hand van enkele demo’s en regels code laat Joel zien dat hij al ontzettend ver is met deze versie en Secure Login. Aan te raden om eens mee te testen, zeker omdat het opensource is . Zie voor meer info de website van NoMAD of op GitLab.

 

Enterprise Management of Office for Mahttps://gitlab.com/orchardandgrove-oss/nomadlogin-adc

Olof Hellman, Microsoft

De eerste versies van Office waren op z’n zachtst gezegd onhandig voor deployeert, waardoor de sysadmin niet altijd even gecharmeerd was van Microsoft Office. Volgens Olof had dat voornamelijk te maken omdat bij Microsoft de focus lag op de eindgebruiker. er werd vanuit gegaan dat elke Mac gebruiker zijn/haar eigen IT admin was. Er werd niet verder nagedacht over deployment en maintenance door een IT afdeling.

Aan de hand van een 3-tal hoofdonderwerpen (licensing, Updates en Application Settings) neemt Olof ons mee in de mogelijkheden van Office voor de Mac.

Licensing

  • Doel office364 dus subscription (vs Volume Licensing)
  • Volume License 2016 (up to 16.16.x)
  • Volume License 2019 (from 16.17.0)
  • Komt in de App Store
  • Tools: licenseRemovalTool, Unlicense

Updates

  • Bij Office for Mac kan de gebruiker kiezen uit verschillende channels:
    • Insider Fast (2 x per week, unsupported, latest features and fixes)
    • Insider slow (2x per maand, supported)
    • Production (maandelijks, meeste stabiele versie)
  • Microsoft AutoUpdate (MAU)
  • IT admins: MAU caching server » com.microsoft.autoupdate2 pref verwijzen naar caching server
  • Macadmins.software/tools (maucache)
  • Commandline msupdate (mau 4.0)

Application Settings

Office for Mac maakt gebruik van Windows API's

Doordat de code van MS Office grotendeels gedeeld wordt met de Windowsversie (een klein deel is MacOS only) wordt er gebruik gemaakt van een Windows API in de code om MacOS zaken te regelen (zoals bijvoorbeeld register verwijzingen). Op de commandline heeft Microsoft de tool mssettings gemaakt om settings vanuit een script te kunnen regelen.

 

Enabling a Unified Apple Experience on Apple TV

Laura Roesler, SAP

Omdat meeting rooms er vaak rommelig uitzien omdat er veel soorten kabels, diverse aansluitingen en adapters nodig zijn, wilde SAP meer gebruik gaan maken van AppleTV. Hoe zorg je er echter voor dat iedereen weet hoe er gebruik van te maken.

Aan de hand van een korte animatie/video laat Laura zien hoe werknemers binnen SAP eenvoudig gebruik kunnen maken van AppleTV in een vergaderruimte door via een App en een aantal stappen het geheel te configureren. Via MDM worden de juiste profielen geladen in de AppleTV.

Vanuit de IT afdeling voert men een actief beleid op het supporter van werknemers uit. Dat betekent dat gebruikers veel zelf mogen doen. Elke gebruiker is ingelogd als ‘standard user’, maar indien nodig kunnen ze gebruik maken van een inhouse ontwikkelde app “Privileges” waarmee ze zichzelf tijdelijk admin kunnen maken.

Naast de SelfService App voor AppleTV zijn er nog een aantal enterprise apps voor TV gemaakt, waaronder PrimeTime  App (‘Digital Signage’ achtig) en de Wall app, waarmee foto’s en afbeeldingen gedeeld en getoond kunnen worden in een groep.

De app Privileges is opensource gemaakt en is te vinden op deze GitHub pagina. De gehele presentatie (Keynote) van Laura is hier te downloaden.

 

Initialise

Marko Jung, University of Oxford

Dat het “uit en weer aanzetten van een computer” nog niet z’n gekke gedachte is, blijkt wel uit het enorm ingewikkelde verhaal wat Marko vertelt. Aan de hand van de diverse bootprocessen (van de allereerste Mac tot aan de iMac Pro met Secure Boot) laat hij zien hoe complex een systeem in elkaar zit en wat er allemaal fout kan gaan. Dan is het nog een keer proberen niet eens zo’n gek idee 😉

Bootproces Mac

Managing Macs for all Orgs

Edward Marczak, Duo Security

Edward neemt ons mee langs memory lane en benoemt de taken en ervaringen die hij als enige IT-er in een kleine company deed, maar waarvan hij ook heel veel geleerd heeft. Inmiddels bij Google gewerkt en nu bij Duo. De manier van werken in grote bedrijven kan je ook prima toepassen in kleinere bedrijven.

Malcolm Gladwell schreef in zijn boek “The Story of Success” dat het 10.000 uur over 10 jaar duurt om iets nieuws te leren en er de beste in te zijn. In realiteit heb je ongeveer 20 uur over 1 maand nodig om iets nieuws te leren (minder dan 1 uur per dag) dan ben je niet de beste maar heb je de basis gelegd om verder te gaan.

Vervolgens maakt hij de overstap naar tools die voor iedereen beschikbaar zijn, klein of groot. Maar eerst moet je jezelf de vraag stellen:

Do you really want to host your own services?

We hebben tegenwoordig allemaal toegang tot cloudbased diensten, gote en kleine bedrijven maken gebruik van dezelfde infrastructure (AWS, Google, Microsoft)

  • WordPress VIP
  • Deployment (JamfPro, Munki, Munki-in-the-cloud)
  • Self Service
  • Docuentation (echt serieus nemen “for you, your company and for your users)
  • GDocs/O365/Wiki/Confluence/Wiki.js om documentatie etc te hosten
  • Password sharing (Lastpass, 1Password)
  • Security (educatie: is het belangrijkst  “Learn them the why” en gebruik two factor authentication!
  • Patching tool (valt ook onder security)
  • Beyound Corp model (vroeger waren computers op een lan beschermd door de firewall. Nu, met veel mobile devices die overla ter wereld gebruikt worden beschermt een firewall deze niet meer.
  • Logging van mobiele devices (Splunk, Elk Stack, Zentral, Santa)

Alle links naar de diverse sites heeft Edward hier verzameld.

 

If You Build It…

Duncan McCracken, Mondada

Soms heb je iets nodig wat niet bestaat, of het bestaat niet in de vorm die je nodig hebt. Dan kan je het uiteraard altijd zelf maken. Duncan bespreekt de stappen die je hiermee helpen.

Voorbeelden waarom je zelf een applicatie zou willen maken:

  • Om een probleem op te lossen
  • Om een proces te automatiseren
  • Om de gebruikerservaring te verbeteren

Versie beheer is bij elk project, hoe groot of klein ook, belangrijk. Maak bijvoorbeeld gebruik van github of gitlab.

  • Support Model
    Eerst bedenken vordat je überhaupt begint. Wie gaat jouw product straks supporter, jij, anderen, een fabrikant, jouw opvolger?
  • Taalkeuze
    In welke taal ga je scripten/programmeren. Kies de juiste tool voor de job. Welke taal ken jij en anderen al? Moet het ergens mee integreren? Heb je een database nodig? Kan je een andere taal leren?
  • Plannen
    Wat wil je precies bereiken, welke features zijn noodzakelijk en welke niet. Probeer het verzanden in allerlei ‘handige’ features te voorkomen
  • Design
    Start met de workflow, houd het logisch, bedenk de user interface (tekst hoort daar ook bij, zorg dat het begrijpbaar is. Wees consistent.
  • User Interface
    Toon alleen relevante informatie, verminder het aantal stappen en klikken, gebruik niet teveel kleuren, fysieke scheiding van items. Maak gebruik van JQuery en/of bootstrap
  • Testen!
    Verbeteren en testen!

 

Exhibitor Session: Deploy certificates using Jamf

Laurent Pertois, Jamf

Allereerst legt Laurent uit hoe en wat een certificaat is. Ik kan daarvoor rechtstreeks verwijzen naar een reader die ik ooit geschreven heb. De rest van zijn verhaal is zo helder dat ik direct verwijs naar de gehele presentatie van Laurent.

 

Swift for Apple Admins

Armin Briegel, scriptingosx.com

Naast het schrijven van boeken verzorgt deze in Nederland wonende Duitser ook prima presentaties. Deze keer over Swift. Conclusie is wel dat de MacAdmins Swift niet meer helemaal links kunnen en moeten laten liggen.
De gehele presentatie van Armin is hier te zien en te downloaden.

 

Ensuring the Fortune 1’s success with Apple

Miles A. Leacy IV, Walmart

Doordat de slogan van Wallmart “Everyday low prices” komt daar ook “Everyday low costs” uit voort. Dat werkt door in de totale bedrijfsvoering.

Walmart Culture

  • Saving people money so they can live better
  • The costumer is #1 always
  • Largets private employer
  • Worlds largest retailer
  • Gobal enterprise founded in 1962 Sam Walton’s founder book : 10 rules

TCO (Total Cost of Ownership)

  • Every day low prices and low costs
  • Same or better TCO than PC’s , support savings, fewer licenses, support ratio

Best practices

  • MacOS N-2 (huidige versies -2) is redelijke standaard
  • Microsoft O365 (en Office 2019) geeft aan N-1 en Wallmart gaat hetzelfde doen
  • Communicate everything you possibly can to your partners (rule 4)
  • Vanaf het moment van verschijnen worden nieuwe versies ondersteund (gebruiken Beta om te testen)
  • Van developers wordt verwacht dat ze zich committeren aan de Apple standaard
  • Alle software die gebruikt wordt moet via App store beschikbaar zijn en ook die moet aan de standaard voldoen (ook vanwege auto updates)
  • Profiles – Het is de verantwoordelijkheid van de vendor dat ze het profile leveren (bijv als een template)
  • DEP is standaard in combi met MDM
  • “Don’t reinvent the wheel”, als het al bestaat gebruik dat

Hurdles

  • Windows centric environment
  • Standards
  • Security
  • Networking
  • Support (elk project documenteren en training) elk project begint met een beschrijving, 3 soorten: engineers, support team en eindgebruikers.)

The future

  • Mac as a choice
  • Zero touch, anywhere
  • Increased release gating based on compliance criteria (uninstall Outlook als er bijv niet geüpdatet wordt)

 

Understanding APFS and New Storage Hardware

Tim Standing, OWC

Net als vorig jaar gaat Tim APFS bespreken. Echter ging hij er dit keer zo diep op in dat het hier niet te beschrijven valt. Ik verwijs daarom naar de video van de presentatie.

Riding Your Next Mac Admin Wave

Tim Sutton, Sauce Labs

In voorgaande versies van MacOS was het voor een SysAdmin belangrijk om het maken van images te beheersen, of het binden aan een directoryservice te kunnen managen of kernel extensies te kunne installeren. Al deze taken worden steeds minder belangrijk met elke nieuwe versie van MacOS. En toch een een SysAdmin zich niet te vervelen. Technische skills zijn belangrijker dan ooit, maar verschuiven wel. Tegenwoordig moet een SysAdmin verstand hebben van concepten en REST APIs, logging en event processing, encryptie, containers, de transistie naar mobile platform, kunnen scripten en/of programmeren, het liefst in verschillende talen.

Dan ben je in staat om te komen tot nieuwe oplossingen, door zelf te scripten vanaf scratch of tools van anderen te kunnen inzetten.
Als je dan de stap zet om een eigen script of programma te schrijven houdt dan rekening met de volgende opmerkingen:

  • Wat je ook probeert te maken, je bent altijd bezig met Infrastructure. Die infra is gemaakt door code, door processen en het bestaat uit mensen die gebruiken en die gebouwd hebben.
  • Er is altijd een doel waarom je iets gaat maken, je kan ook het doel hebben om iets nieuws te leren, voor de lol of uit nieuwsgierigheid
  • Het start altijd met een paar regels code
  • Het is een incrementeel proces
  • Zorg voor een goede logging zodat jij en anderen makkelijker kunnen debuggen
  • Valideer userinput op een vroeg moment
  • De beste feedback krijg je als je het open source maakt

Door ook dit soort uitdagingen op te pakken voeg je waarde toe aan het bedrijf, het team of het project waar je voor of aan werkt.

 

APFS deep internals

Jonathan Levin, Technologeeks

APFS is het standaard filesysteem van Apple geworden voor MacOS (vanaf 10.13) en iOS. In deze sessie gaat Jonathan dieper op het FileSystem in, want zoveel weten we er nog niet van. Apple had bij de release beloofd dat de specs snel bekend gemaakt zouden worden. Dat heeft ruim twee jaar geduurd!

Jonathan heeft door middel van reverse engineering de structuur van het bestandssysteem, de container blocks, de snapshots en de trees onderzocht. De uitkomsten vertelt Jonathan in een razend tempo tijdens deze presentatie. Binnenkort komt ook zijn boek volume II van “*OS Internals” trilogy waar hij zijn bevindingen ook beschrijft.

Alsof dat nog niet genoeg is presenteert hij ook een, door hem gemaakte, gratis tool om APFS partities door te bladeren, te inspecteren (voor MacOS, iOS en Linux!)

De sessies van Jonathan gaan zo snel en zijn inhoudelijk zo diepgaand dat het onmogelijk is om hier een samenvatting te geven. Dat zou ook geen recht doen aan zijn presentatie. Daarom hier is de gehele presentatie (video).

 

Under the Bridge(OS)

Jonathan Levin, Technologeeks

BridgeOS is officieel geïntroduceerd met de MacBook Pro 2016 als besturingssysteem voor de Touch Bar. Sinds die tijd heeft de ontwikkeling niet stil gestaan en het lijkt erop alsof het een belangrijke rol gaat spelen in de beveiliging van MacOS in de (nabije) toekomst (denk aan de iMac Pro).

Zoals we gewend zijn van Apple geven ze weinig details vrij over wat het nu precies is en hoe het werkt. Onder de motorkap is BridgeOS een variant van iOS waarmee MacOS en iOS nog dichter bij elkaar komen.

In deze presentatie legt Jonathan de structuur van BridgeOS uit en de integratie in MacOS.

De sessies van Jonathan gaan zo snel en zijn inhoudelijk zo diepgaand dat het onmogelijk is om hier een samenvatting te geven. Dat zou ook geen recht doen aan zijn presentatie. Daarom hier de gehele presentatie om zelf te zien (video).